From Wikipedia, the free encyclopedia
İmtiyazların artırılması adətən proqram və ya istifadəçi tərəfindən qorunan resurslara yüksək giriş əldə etmək üçün əməliyyat sistemində və ya tətbiqi proqramlarda səhvdən, dizayn qüsurundan və ya konfiqurasiyaya nəzarətdən istifadə etmək aktıdır. Nəticə odur ki, bu imtiyazı əldə edən adi istifadəci, proqram tərtibatçısı və ya sistem administratoru tərəfindən nəzərdə tutulan daha çox imtiyazları da əldə edərək, proqramda icazəsiz hərəkətlər edə bilər.
Bu məqalədə orijinal tədqiqata, təsdiqlənə bilməyən ifadələrə, mülahizə və şərhlərə yer verildiyi düşünülür. |
Əksər kompüter sistemləri hər biri imtiyazlar kimi tanınan bir neçə istifadəçi hesabı ilə istifadə üçün nəzərdə tutulmuşdur. Ümumi imtiyazlara fayllara baxmaq və redaktə etmək və ya sistem fayllarını dəyişdirmək daxildir.
İmtiyazların yüksəldilməsi o deməkdir ki, istifadəçilər sahib olmadıqları imtiyazları alırlar. Bu imtiyazlar faylları silmək, şəxsi məlumatlara baxmaq və ya viruslar kimi arzuolunmaz proqramları quraşdırmaq üçün istifadə edilə bilər. Bu, adətən sistemdə təhlükəsizliyin yan keçməsinə imkan verən bir səhv olduqda və ya alternativ olaraq onun necə istifadə ediləcəyi ilə bağlı qüsurlu dizayn fərziyyələri olduqda baş verir. İmtiyazların yüksəldilməsi iki formada baş verir:
Bu tip imtiyazların yüksəldilməsi o zaman baş verir ki, istifadəçi və ya proses, ola bilsin ki, nüvə səviyyəsində əməliyyatlar yerinə yetirməklə, nəzərdə tutulan administrator və ya sistem tərtibatçısından daha yüksək səviyyəli giriş əldə edə bilsin.
Bəzi hallarda, yüksək imtiyazlı proqram onun yalnız interfeys spesifikasiyasına uyğun gələn girişlə təmin olunacağını güman edir, buna görə də bu girişi təsdiq etmir. Bundan sonra, hücumcunun tətbiqin imtiyazları ilə icazəsiz kodu işlətmək üçün bu fərziyyədən istifadə edə bilər:
Tətbiq hücumçunun adətən proqram və ya istifadəçi tərəfindən qorunacaq resurslara giriş əldə etməsinə icazə verdikdə üfüqi imtiyazların artması baş verir. Nəticə odur ki, proqram eyni istifadəçi ilə, lakin proqram tərtibatçısı və ya sistem administratoru tərəfindən nəzərdə tutulduğundan fərqli təhlükəsizlik kontekstində əməliyyatlar həyata keçirir; bu, faktiki olaraq imtiyazların artırılmasının məhdud formasıdır (xüsusilə, digər istifadəçiləri təqlid etmək imkanının icazəsiz fərziyyəsi). Şaquli imtiyaz artımı ilə müqayisədə, üfüqi hesabların imtiyazının təkmilləşdirilməsini tələb etmir. Çox vaxt sistemdəki səhvlərə əsaslanır.[2]
Bu problem tez-tez veb proqramlarda baş veri . Aşağıdakı misalı nəzərdən keçirək:
Bu vəziyyətə gətirib çıxara biləcək potensial veb proqram zəiflikləri və ya vəziyyətlərə aşağıdakılar daxildir:
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.